目前在Windows、Unix和Linux作業系統上常見的網路檔案系統使用的是基於訪問進程的網路節點IP位址和進程UID/GID的遠程檔案訪問控制方法。這種訪問控制方法在本質上是面向網路節點的。
基本介紹
- 中文名:遠程檔案訪問
- 外文名:Wnet API
- 別稱:Remote file access
- 遠程訪問:Emial、遠程節點、遠程控制訪問
- 訪問技術:Condor 、Legion
- 安全問題:訪問控制、數據保護、劣種代碼
相關概念,網路檔案系統,遠程訪問,遠程檔案訪問,安全問題及解決,格線環境下檔案遠程訪問,格線,格線實驗環境拓撲圖,基於Web檔案遠程訪問服務,Web Service 工作原理,檔案遠程訪問服務的實現,
相關概念
網路檔案系統
網路檔案系統(NFS)是一種重要的檔案系統共享協定,得到了包括Windows、Unix和Linux在內的眾多作業系統的支持。成為企業、科研院所等機構進行資源共享、信息傳遞以及協同工作的重要工具。因此確保網路檔案系統的信息安全在當前有著非常重要的意義。
遠程訪問
遠程訪問主要有三種方式:E—mial訪問、遠程節點訪問和遠程控制訪問。E—mial訪問是指可以收發E一mial,這是最簡單的遠程訪問方式。如不需要運行程式、不需要訪問內部網路檔案或管理網路上的數據,可選用這種方法。
遠程節點訪問是指可以從一個遠程位置登錄內部網路。這種連線與本地網路連線相同,可脫離檔案伺服器運行套用軟體並在本地工作站上訪問數據。
遠程控制訪問可控制內部網路上的一台計算機並在該機上運行套用軟體,但這種訪問方式只可傳輸螢幕圖象和鍵盤信息。任何一種類型的網路若提供遠程訪問功能,則面臨著一種安全威脅:合法的用戶能人網,非法的使用者(即人侵者)也能侵人網路。因此必須採取適當的保護措施,使遠程訪問系統變得更安全。
遠程檔案訪問
目前在Windows、Unix和Linux作業系統上常見的網路檔案系統使用的是基於訪問進程的網路節點IP位址和進程UID/GID的遠程訪問控制方法。這種訪問控制方法在本質上是面向網路節點的。而且相應的IP位址和進程UID/GID信息在網路傳輸過程中,只經過了XDR編碼,沒有從密碼學的高度對上述信息的傳輸提供完整性或私密性保障。
而在格線領域以及傳統的分散式領域,有許多數據遠程訪問技術。例如Condor 和Legion 的遠程檔案訪問技術,遠程I/O 系統以及Globus 採用的全局二級存儲服務GASS 和遠程數據傳輸服務GridFTP 等。
安全問題及解決
在撥號網路中主要考慮三類安全問題:訪問控制、數據保護和警戒劣種代碼(病毒、特洛伊木馬、蠕蟲等)。所有來自這三類問題的攻擊,不管發生在數據級還是系統級,都削弱了入侵保護;甚至劣種代碼也可看成一種特殊類型的攻擊。所以在制訂遠程訪問策略保護網路資源時,其主要目的是防止人侵。每一種撥入方式都攜帶著風險,但並不都共享同樣的風險。此時重新檢查網路配置和遠程連線的目的將防止不必要地暴露自己的網路。
隨著遠程撥號線路的建立,在網上隔離信息的要求無疑會日益增大。當這些需被訪問檔案遍布磁碟卷時,單獨建立檔案訪問許可權就不能提供足夠的安全性。以下兩種方法可提供更高一級的安全。
1、通過對關鍵數據和秘密數據創立一個單獨的磁碟卷而隔離信息。
2、單獨設定一個限制使用的檔案伺服器。伺服器可設定為對無許可權用戶“不可見”。可配里撥人網關以忽略伺服器的存在,除非呼叫者有特定許可權。以上兩種方法都迫使系統管理員把被關注的檔案放在合適的位置。
如果安全卷或伺服器被設計成對這些檔案來說是被證明的最佳位置.那這就是這些檔案該放的位置。如果對網路風險的評價結論是不希望外部對特定檔案的任何訪問,那么將阻止其他用戶甚至合法的用戶在家裡或路上訪問它們。
決定哪些檔案需外部訪問,由誰訪問它們,如何對網路分區以實現這些需求,這些都是建立安全遠程訪問的進一步的工作。
格線環境下檔案遠程訪問
格線
格線是近年來逐漸興起的一種Internet 計算模式,是一種在廣域範圍內深度共享多種資源的技術,其目的是為了在分布、異構、自治的網路資源環境上構造動態的虛擬組織,並在其內部實現跨自治域的資源共享與資源協作。而目前格線中的數據資源呈現出如下幾個特點:檔案數量巨大,類別多;訪問量大,但檔案大小差別大;不同用戶對檔案管理的要求各異。
格線實驗環境拓撲圖
在我們構造的資源格線中,格線中存在不同的管理域,如圖所示。
格線實驗環境拓撲
格線實驗環境拓撲圖中:①A,B,C 為格線中的管理節點;②A1、A2、B、 B2、
C1、C2 均為格線中的資源節點;③A,B,C 管理節點之上,還有
一層CA 認證中心,用來分發證書。
檔案遠程訪問及傳輸的過程如下:
(1) A1 節點的用戶可以看到A,B,C 這3 個管理節點下所
有資源節點擁有的資源信息。
(2) 資源節點可以根據自己的需要來上傳,下載相關資源。
(3) 管理節點可以創建副本,根據檔案被下載的次數,如果超過一定的閾值,就在管理節點創建副本,這樣可以提高檔案訪問效率。
基於Web檔案遠程訪問服務
Web Service 工作原理
Web Service 是一種分散式計算技術,它的優點是更適合Internet 這種異構分散式的松耦合網路環境的需要,可以通過防火牆進行通信,利用標準化的服務註冊機制(UDDI)、服務描述語言(WSDL)、訊息傳輸格式(SOAP)和通訊協定(HTTP)來提供服務的遠程訪問。Web Service 的工作模式有很多種,如C/S(client/server)、B/S(browser/server)等。
檔案遠程訪問服務的實現
使用MyEclipse Web Service 來開發。Web Service 的框架有很多,目前XFire Java SOAP 框架。XFire 提供了一個動態的代理框架,能夠讀取WSDL 文檔和創建潛在的訊息服務使Java 類來執行在Web Service 的行為。在本地創建一個Java Web Service 客戶端,即創建一個Client類,用其中的main 函式來調用我們編寫的遠程檔案瀏覽訪問Web 服務w3cDoc,具體的檔案遠程瀏覽訪問互動過程如圖所示。
檔案遠程瀏覽訪問的互動過程
檔案遠程瀏覽訪問的互動過程